Postupak testiranja instrumentacionog kruga za SIL-ocenjene sigurnosne instrumentacione sisteme

Allen-Bradley ControlLogix, Cold Loop Test, Hot Loop Test, IEC 61511, Industrial Automation, PFDavg, Proof Test, Safety Instrumented System, SIL Loop Test, Triconex T3000
%Б %д, %И

Instrument Loop Test Procedure for SIL-Rated Safety Instrumented Systems

Zašto se SIL testovi petlji razlikuju od standardnih provera puštanja u rad

Standardni test petlje potvrđuje kontinuitet signala i tačnost skaliranja. SIL test petlje radi sve to, plus proverava da li se sigurnosna funkcija aktivira na ispravnoj vrednosti procesne promenljive, pravilno deaktivira nakon resetovanja i ne ostavlja latentne greške. IEC 61511 član 16.2 zahteva dokumentovane zapise o stanju pre i posle testa za svaku SIL ocenjenu petlju na svakom intervalu provere. Nepostojanje dokumentacije o stanju pre podešavanja poništava validnost provere u svrhu usklađenosti.

Za Allen-Bradley ControlLogix 1756-L85E sisteme, otvorite Studio 5000 i pronađite Safety Task. Potvrdite da oznaka logike sigurnosne funkcije odgovara SRS-u. Za Triconex T3000 sisteme, otvorite TriStation 1131 i proverite logičku mrežu koja implementira zaštitnu funkciju. Oba sistema zahtevaju održavanje bypass-a pre bilo kakve fizičke intervencije. Potvrdite interval provere — SIL 2 petlje obično zahtevaju intervale provere od 2 godine na osnovu PFDavg proračuna. Nikada ne produžavajte interval bez dokumentovane varijante odobrene od strane inženjera funkcionalne bezbednosti.

Procedura za održavanje bypass-a i inhibicije

Korak 1: U Allen-Bradley ControlLogix, postavite odgovarajući bit za sigurnosni bypass koristeći mehanizam Safety Bypass Request u Studio 5000. Nemojte koristiti forsiranje. Forsiranje sigurnosne zadatke zaobilazi logiku detekcije provere CPU sigurnosti. Bypass bit pokreće alarm Safety Bypass Active u istorijskom zapisu.
Korak 2: U Triconex T3000, otvorite TriStation 1131 i aktivirajte Maintenance Mode za kanal koji se testira. Maintenance Mode postavlja izlaz kanala u prethodno konfigurisano sigurno stanje. LED na prednjoj ploči Tricon CX za pogođeni modul menja boju iz zelene u žutu. Zabeležite vreme početka u sistemu dozvole za rad.
Korak 3: Proverite da li logika glasanja ne aktivira lažni prekid. Za 2oo3 funkciju glasanja, jedan kanal u održavanju je prihvatljiv. Za 1oo1 funkciju, mora se potvrditi inhibicija aktivacije finalnog elementa na nivou aktuatora ventila pre nastavka.
Korak 4: Potvrdite bypass sa operaterom u kontrolnoj sobi. Operater mora potvrditi bypass na SCADA panelu i uneti svoj korisnički ID. Ovo kreira audit trag koji zahteva IEC 61511 član 11.9.

Cold Loop Test: Injekcija signala i verifikacija skaliranja

Cold loop test koristi procesni kalibrator za injektovanje signala bez prisustva žive procesne tečnosti. Za 4–20 mA petlju pritisnog transmitera, injektujte 4.000 mA, 12.000 mA i 20.000 mA na terminalu transmitera. Zabeležite sirovi broj DCS-a na svakoj tački.

Za Allen-Bradley ControlLogix 1756-IF16 analogne ulazne module, očekivani opseg sirovih brojeva je 0–32767. Na 4 mA, očekivani broj je 0 ±20 brojeva (0,06% opsega). Na 20 mA, očekivani broj je 32767 ±20 brojeva. Offset veći od 50 brojeva zahteva rekalibraciju modula pomoću RSLogix 5000 Analog Input Calibration Wizard-a.

Za Triconex T3000 TRICON AI module, rezolucija analognih ulaza je 16-bitna. Na 4 mA, AI kanal očitava 0x0000. Na 20 mA, kanal očitava 0x7FFF. Odstupanje veće od 0x0050 (80 brojeva) na bilo kojoj test tački zahteva zamenu AI modula — T3000 ne podržava rekalibraciju pojačanja AI kanala na terenu.

Korak 1: Povežite procesni kalibrator paralelno sa ožičenjem transmitera u razvodnoj kutiji. Postavite izvor na 4.000 mA. Sačekajte 5 sekundi da se DCS osveži. Zabeležite prikazanu vrednost i sirovi broj DCS-a.
Korak 2: Povećajte na 12.000 mA (50% opsega). Proverite da li DCS prikazuje 50% ±0,5% opsega jedinice mere. Zabeležite vrednosti pre podešavanja.
Korak 3: Povećajte na 20.000 mA (100% opsega). Proverite da li DCS očitava punu skalu ±0,5%. Zabeležite vrednosti pre podešavanja.
Korak 4: Injektujte 3.600 mA. Proverite da li DCS podiže alarm „Low Wire Break“ u roku od 3 sekunde. U Allen-Bradley ControlLogix, prag prekida žice za 4–20 mA AI je podesiv na 3,6 mA u svojstvima modula Studio 5000.
Korak 5: Injektujte 21.000 mA. Proverite da li DCS podiže alarm „High Over-Range“ u roku od 3 sekunde. Prag preopterećenja ControlLogix 1756-IF16 je 21,0 mA. Prag preopterećenja Triconex AI modula je po defaultu 20,5 mA.
Korak 6: Zabeležite sve vrednosti pre podešavanja u zapisnik testa petlje. Ako su sve vrednosti unutar kriterijuma prihvatanja, dokumentujte kao „Pre podešavanja = Posle podešavanja“. Ako bilo koja vrednost odstupa, izvršite podešavanje i ponovite test. Dokumentujte obe vrednosti sa potpisom inženjera.

Hot Loop Test: Verifikacija aktivacije sigurnosne funkcije

Hot loop test potvrđuje da se sigurnosna funkcija aktivira na ispravnoj vrednosti procesne promenljive. Ovaj test proverava kompletnu SIS petlju od senzora preko logičkog procesora do finalnog elementa. Hot testovi zahtevaju žive procesne uslove ili simulirane uslove pomoću sertifikovanog izvora pritiska.

Prvo, potvrdite da je finalni element (obično ESD ventil) u sigurnom stanju pre početka. Koristite indikator povratne informacije položaja aktuatora za potvrdu. Ne nastavljajte ako se povratna informacija položaja ventila razlikuje od komandnog signala za više od 5% hoda.

Drugo, polako povećavajte injektovani signal ka setpoint-u aktivacije sigurnosne funkcije. Za visok pritisak sa setpoint-om na 95 barg, injektujte odgovarajući mA signal korak po korak: 18 mA (90%), 18,8 mA (94%), 19,0 mA (95%). Zabeležite tačan mA na kojem se Triconex T3000 ili Allen-Bradley ControlLogix sigurnosna funkcija aktivira. Tačka aktivacije mora biti unutar ±1% od setpoint-a definisanog u SRS-u.

Treće, proverite sekvencu resetovanja. Nakon aktivacije, smanjite signal ispod praga za reset. Potvrdite da se sigurnosna funkcija ne resetuje automatski bez eksplicitne akcije resetovanja od strane operatera. Latch-reset arhitektura je obavezna za SIL 2 funkcije prema IEC 61511 članu 11.6.4. Samo-resetujuća SIL 2 petlja ne prolazi proveru bez obzira na tačnost setpoint-a.

Na kraju, proverite vreme odziva. Vreme odziva SIS petlje od promene ulaza senzora do punog hoda finalnog elementa ne sme premašiti Process Safety Time (PST) definisan u SRS-u. Koristite štopericu ili DCS SOE snimač sa rezolucijom od 1 ms. Vreme odziva Triconex TMR digitalnog izlaznog modula od 30 ms plus vreme skeniranja sigurnosne zadatke Allen-Bradley ControlLogix od 10 ms ostavlja 1960 ms za hod ventila u aplikaciji sa PST od 2 sekunde.

IEC 61511 dokumentacija i zahtevi za reviziju

Svaki SIL proof test generiše tri obavezna dokumenta: Zapisnik testa petlje (LTR), Sertifikat provere (PTC) i ažuriranu Procenu funkcionalne bezbednosti (FSA). LTR beleži vrednosti pre i posle podešavanja, serijske brojeve test opreme sa kalibracionim sertifikatima, ime testera i potpis svedoka. PTC potvrđuje da je sigurnosna funkcija ispunila sve kriterijume prihvatanja ili dokumentuje neusaglašenosti sa planovima korektivnih mera. Ažuriranje FSA preračunava PFDavg koristeći stvarni obuhvat provere postignut tokom testa.

Česte nedostatke u reviziji uključuju: nedostatak zapisa pre podešavanja (tester je podesio pre beleženja), korišćenje test opreme sa isteklog kalibracionog sertifikata (maksimalni interval 12 meseci), nedostatak potpisa svedoka za SIL 2 i više funkcija, i nepreračunavanje PFDavg nakon testa. Svaki od ovih predstavlja ozbiljnu neusaglašenost prema kriterijumima TÜV Rheinland revizije funkcionalne bezbednosti.

Primena liste provere pre testa pre početka bilo kog SIL proof testa je obavezna. Potvrdite: važenje kalibracije test opreme, odobrenje MOC-a, izdat permit za bypass, potvrđene SRS setpoint vrednosti, pregled prethodnog LTR-a za poznate nedostatke. Pet minuta provere pre testa sprečava sate ispravljanja tokom revizije.

Zaključak i preporuke za akciju

SIL testovi instrumentnih petlji nisu formalnost. Oni su primarni mehanizam za otkrivanje latentnih kvarova koji su se nakupili od poslednjeg proof testa. Pratite šestostepenu proceduru cold loop testa za verifikaciju skaliranja i detekcije prekida žice. Koristite hot loop test da potvrdite aktivaciju sigurnosne funkcije na SRS setpoint-u sa tolerancijom ±1%. Proverite latch-reset ponašanje i vreme odziva u skladu sa budžetom Process Safety Time.

U Allen-Bradley ControlLogix koristite sigurnosne bypass bitove, nikada forsiranje. U Triconex T3000 koristite Maintenance Mode sa vremenski označenim unosom u permit-to-work sistem. Beležite podatke pre podešavanja. Izdajte Sertifikate provere sa potpisom inženjera i dokumentacijom usklađenom sa TÜV-om. Preračunajte PFDavg nakon svakog ciklusa provere. Sistematsko, dokumentovano SIL testiranje petlji je inženjerska osnova koja čuva bezbednost ljudi i procesa.

Autor: Wang Jiaming je inženjer industrijske automatizacije sa preko 10 godina iskustva u PLC, DCS i kontrolnim sistemima.